none
Windows Server 2003 - nastavení práv sdíleným složkám

    Dotaz

  • Přeji pěkný den,

    spravuji PC učebnu v malé škole, server s Windows Server 2003 + stanice s Windows 7 Professional.

    Na serveru jsou nasdílené složky s různými přístupovými právy. Stanice se dávaly nové, ze začátku vše fungovalo tak jak má a daní uživatelé se dostali jen do složek, které jim byly určené.

    Pak se něco přihodilo (pracuji pro školu externě, admin přístup má i správce učebny, takže je možný i zásah na serveru) a přístupová práva se totálně rozhodila, a to tímto způsobem:

    Pokud u složky nastavím oprávnění pro jednoho uživatele, tak se s daným uživatelem ze stanice do složky nedostanu. Pokud oprávnění uživateli odeberu a nastavím oprávnění pro skupinu Administrators, tak se do složky dostanou všichni uživatelé bez ohledu na to, zda se ve skupině nachází či ne. Totéž se však děje i pokud nastavím přístup jen pro uživatele Administrator.

    Na serveru se v poslední době nic nezměnilo, ve skupině Administrators jsou ti správní uživatelé.

     

    Nevím si s tím rady, možná čím víc se v tom patlám, tím víc přehlížím nějakou drobnost. Nemáte nějaké tipy kam se zaměřit?

     

    Děkuji.

    pátek 30. září 2011 13:25

Odpovědi

  • A. Vzhledem k tomu, ze mate Active Directory, nebudete pracovat  s jednotlivymi uzivateli, ale se skupinami

    B. U adresare, ktery sdilite by nemel dedit opravneni z nadrazeneho adresare. Plne prava (Permission) na sdileny adresar ma SYSTEM a Administratori, prava na skupiny uzivatelu zavisi na tom, co chcete docilit (To jste zatim neprozradil.)

    C. Sdileni - Share - dejte na Full pro "kazdeho".

    pátek 30. září 2011 16:21
    Vlastník

Všechny reakce

  • 1. V dotazu chybi podstatna informace, v jakem rezimu server pracuje. Zda se jedna od skupinu (workgroup) nebo Active Directory. Bylo by dobre system popsat lepe a take napsat, jaky ma byt cilovy stav.

    2. Windows 2003 pouziva protokol nizsi nez Windows 7. Nekdy se problem se sdilenim vyresi tak, ze se Windows 7 vnuti pouzivani nizsi verze protokolu.

    3. Pokud server a sit spravuje vice lidi, mela by existovat mezi spravci take odpovidajici komunikace, nebo jeste lepe, veskere zmeny zapisovat do provozniho denniku. 


    pátek 30. září 2011 13:51
    Vlastník
  • ad 1)

    omlouvám se, máte pravdu, je tam Active Directory

    ad 2)

    díky za tip, vyzkouším, je mě trochu mate že po nasazení Windows 7 stanic vše fungovalo dobře, nemohu se dopátrat k čemu vlastně došlo

    pátek 30. září 2011 14:02
  • A. Vzhledem k tomu, ze mate Active Directory, nebudete pracovat  s jednotlivymi uzivateli, ale se skupinami

    B. U adresare, ktery sdilite by nemel dedit opravneni z nadrazeneho adresare. Plne prava (Permission) na sdileny adresar ma SYSTEM a Administratori, prava na skupiny uzivatelu zavisi na tom, co chcete docilit (To jste zatim neprozradil.)

    C. Sdileni - Share - dejte na Full pro "kazdeho".

    pátek 30. září 2011 16:21
    Vlastník
  • Každý žák školy i učitelé mají na serveru založený uživatelský účet. Dále jsou založeny skupiny jednotlivých tříd a skupina Sbor. Členy skupiny jsou vždy příslušné účty. Administrator a účet správce učebny jsou členy skupiny Administrators.

    Na datovém disku na serveru jsou vytvořeny složky jednotlivých tříd, složka určená pro učitele a společná složka s výukovými programy. Tyto složky jsou nasdílené v síti. Oprávnění je nastaveno pro čtení i zápis u každé složky vždy pro příslušnou skupinu.

     

    Server je v učebně již několik let a po celou dobu vše fungovalo k plné spokojenosti, kdokoli se na stanici přihlásil pod svým účtem, měl přístup jen do složky jemu určené. Letos v srpnu se nahrazovaly stanice novými s Windows 7, začátkem nového školního roku se upravovaly uživatelské účty (mazali se žáci, kteří školu opustili, přidávali se noví žáci, stávající žáci se přesouvali do jiné skupiny na vyšší ročník). Při této změně jsem prověřoval, zda oprávnění funguje a bylo vše v pořádku, i na nových stanicích bylo sdílení OK.

     

    No a teď mi volal správce učebny s tím, že žáci mají ze stanic přístup i do složky na serveru, která jim není určena, tak jsem to začal řešit a nemohu se dopátrat ani příčiny, ani řešení. Od té doby neproběhla na serveru žádná změna, nainstalovaly se asi 4 aktualizace (zkoušel jsem je též odebrat - bez úspěchu), nedokážu si to vysvětlit.

     

     

    sobota 1. října 2011 16:29
  • 1. Nevim o zadne aktualizaci, ktera by menila prava.

    2. Nemel by byt problem zjistit, jaka prava maji skupiny v adresarich. Proc se to neudelalo? Pokud nemuzete k serveru, nebo nemate vzdaleny pristup, muzete napsat skript, ktery skolni spravce spusti na serveru a posle Vam vysledek. Ve skriptu pouzijete funkci cacls a presmerovani vystupu do textoveho souboru.

    3. Mazat absolventy neni dobre. Zpravidla se ucet disejbluje nebo da do skupiny, ktera nikam nemuze. 

    4. Muze jeste nastat problem s nekompatibilitou protokolu SMB, proto bych doporucil na W 7 vnutit nizsi verzi protokolu SMB. Nevim, zda mate roaming profily. Ty se u W 7 vytvareji s rozsirenim po jmenu V2 (jako verze dve).
    neděle 2. října 2011 13:07
    Vlastník
  • Ja bych pri patrani po pricine postupoval takto:

    1. Vytipoval bych si jednu "problemovou" slozku a zjsitil, kteri uzivatele a zejmena skupiny na ni maji prideleno opravneni minimalne pro cteni.

    2. Pak bych v AD Users & Computers sel po techto skupinach a zjistoval clenstvi.

    IMHO to tipuji na to, ze nekdo pridal jako clena skupiny Domain admins skupinu Domain Users nebo neco podobneho.

    Az na problem prijdete a vyresite ho, tak pri testovani nezapomente, ze zmena clenstvi ve skupine se u uzivatelskeho uctu projevi az pri dalsim prihlaseni.


    BB
    pondělí 3. října 2011 7:19
  • Prověřil jsem oprávnění složek jak ve vlastnostech, tak pomocí cacls - vše se zdá OK.

    Vytvořil jsem nové sdílené složky - problém se projevuje i u nových.

     

    Zprovoznil jsem si zkušebně 2 PC s Windows Server 2k3 a W7Pro a nastavil je stejně jako v učebně - vše OK na první dobrou, práva fungují tak jak mají.

     

    Vnutil jsem stanici používat SMB1 pomocí

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
    "SMB2"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
    "SMB3"=dword:00000000

    Zdá se že nemá vliv.

     

    Připojil jsem do sítě starou stanici s XPP - vše OK.

     

    Smazal jsem na serveru uživatelský účet a vytvořil ho znovu, bez úspěchu. Skupina taktéž.

     

    Odpojil jsem stanici od domény a připojil znovu - bez úspěchu.

     

    Zajímavé zjištění:

    Na stanici jsem odebral uživatelské profily v registrech v HKLM/Software/Microsoft/WindowsNT/ProfileList, pak umazal profily v C:\Users, po restartu přihlásil nějakého uživatele, po přihlášení oprávnění OK, dostal se jen tam kam mohl. Po restartu stanice vše při starém.

     

    Díky za další tipy.

    čtvrtek 6. října 2011 18:26
  • To zni nejak divne . . . Chapu to dobre, ze po smazani PROFILU NA STANICI, restartu a prihlaseni uzivatele jehoz profil byl smazan, to fungovalo OK. A po dalsim restartu uz zase ne?

    OK, tak to zkuste primo lokalne na serveru. Jednomu uzivateli pridelte pravo mistniho prihlaseni a zkuste zda se dostane jen tam kam ma.

    Jeste hloupa otazka - predpokladam ze prava na sdileni jsou nastavena Everyone - Full control a laboruje se jen s NTFS opravnenimi?


    BB
    pátek 7. října 2011 7:07
  • Ano, chápete to dobře, po smazání profilu ze stanice fungují po prvním přihlášení práva dobře, jakmile se stanice restartuje a přihlásí se tentýž uživatel, opět má přístup i do složek, ke kterým nemá oprávnění.

    Zkusím to tedy lokálně na serveru, uvidíme, díky za tip.

    U složek nastavuji samozřejmě NTFS oprávnění, práva na sdílení jsou Everyone na full.

    úterý 11. října 2011 15:51
  • 1. Po takovych zmenach bez uklidu tam mate mozna pekny zmatek a radu mrtvych uctu v security u adresaru.

    2. Bylo by opravdu dobre znat strukturu adresaru a povoleni, alespon v jednoduche podobe.

    3. Domnivam se ze ani na stanicich jste neodebral uzivatele korektne.

    4. Problemy s profily mohou nastat, pokud se stehuji na server a na serveru nejsou spravne nastavena prava.

    5. Pro analyzu problemu je nutne uvadet informace detailneji

    6. Porad nemam jistotu, zda jste spravne vyresil dedeni u sdileneho adresare.

    úterý 11. října 2011 18:44
    Vlastník